NIS2 umsetzen: Schritt für Schritt zur Compliance | NIS2Compass | NIS2Compass
Leitfaden
NIS2 umsetzen: Schritt für Schritt zur Compliance
8 Min. LesezeitNIS2Compass Team
NIS2-Compliance in 8 strukturierten Schritten umsetzen: Von der Betroffenheitsprüfung über Risikomanagement und technische Maßnahmen bis zur Sicherheitskultur.
Das NIS2-Umsetzungsgesetz (NIS2UmsuCG) ist seit Dezember 2025 in Kraft. Rund 29.500 Unternehmen in Deutschland müssen jetzt handeln. Die gute Nachricht: NIS2-Compliance lässt sich in 8 strukturierten Schritten aufbauen. Der Vor-Check von NIS2Compass zeigt, wo Ihr Unternehmen heute steht. Der NIS2 Guide begleitet Sie anschließend durch den gesamten Umsetzungspfad.
Die NIS2-Anforderungen sind umfangreich, doch mit einem strukturierten Vorgehen beherrschbar. 8 Kapitel decken den gesamten Compliance-Pfad ab: von der Betroffenheitsanalyse über technische Maßnahmen bis zur Sicherheitskultur. Entscheidend ist, nicht an Einzelmaßnahmen zu scheitern, sondern den Gesamtpfad zu kennen.
Seit dem Inkrafttreten am 6. Dezember 2025 gelten alle Pflichten ohne Übergangsfrist. Die BSI-Registrierungsfrist ist am 6. März 2026 abgelaufen. Unternehmen, die noch nicht registriert sind, riskieren bereits Bußgelder.
Die 8 Kapitel im Überblick: Betroffenheit und Registrierung, Risikomanagement, Technische Sicherheitsmaßnahmen, Vorfallsmanagement und Meldepflichten, Governance und Verantwortung, Lieferkettensicherheit, sowie . Diese Struktur orientiert sich an den Anforderungen des NIS2UmsuCG und bildet einen vollständigen Umsetzungspfad.
NIS2 strukturiert umsetzen
NIS2Compass führt Sie Schritt für Schritt durch die Umsetzung – mit Leitfaden, Vorlagen und Wissens-Hub.
Bevor Sie starten, sollten Sie zwei Fragen klären: Bin ich von NIS2 betroffen? Und falls ja, wo stehe ich heute? Der Vor-Check von NIS2Compass liefert in wenigen Minuten eine erste Standortbestimmung.
Ein typisches Szenario: Ein Fertigungsunternehmen mit 150 Mitarbeitern im Sektor Verarbeitendes Gewerbe steht vor genau dieser Situation. Kein Informationssicherheitsbeauftragter, kein Asset-Inventar, keine definierten Meldeprozesse. Die IT-Abteilung mit sechs Mitarbeitern hat NIS2 als weiteres Thema auf dem Tisch.
Mit einem strukturierten 8-Kapitel-Pfad lässt sich die Umsetzung in etwa sechs Monaten durchlaufen. Die typischen Hürden: fehlende Dokumentation bestehender Maßnahmen und die Einbindung der Geschäftsleitung. Das Ergebnis: ein funktionierendes Sicherheitsmanagement, abgeschlossene BSI-Registrierung und dokumentierte Prozesse für den Ernstfall.
Ob Ihr Unternehmen unter das NIS2-Umsetzungsgesetz fällt, hängt von zwei Faktoren ab: Sektor und Unternehmensgröße. Betroffen sind Organisationen ab 50 Mitarbeitenden oder 10 Mio. EUR Jahresumsatz in einem der 14 regulierten Sektoren. Die BSI-Registrierung ist für alle betroffenen Unternehmen verpflichtend.
Das BSIG unterscheidet zwischen Anlage 1 (hohe Kritikalität, z. B. Energie, Gesundheit, Transport) und Anlage 2 (sonstige kritische Sektoren, z. B. Lebensmittel, Chemie). Je nach Einstufung gilt Ihr Unternehmen als „besonders wichtige Einrichtung" oder als „wichtige Einrichtung", was den Umfang der Pflichten beeinflusst.
Für die Registrierung beim BSI benötigen Sie ein ELSTER-Zertifikat und ein MUK-Konto. Die BSI-Betroffenheitsprüfung hilft bei der ersten Einordnung. Die Registrierungsfrist ist seit dem 6. März 2026 abgelaufen. Eine ausführliche Erklärung zur Betroffenheit finden Sie im Artikel Bin ich von NIS2 betroffen?.
Risikomanagement bildet das Fundament der NIS2-Compliance. Bevor Sie Maßnahmen umsetzen, müssen Sie wissen, welche Werte schützenswert sind, welche Bedrohungen bestehen und wo Lücken zu den gesetzlichen Anforderungen klaffen. Erst diese Analyse macht gezielte Investitionen möglich.
Der Prozess folgt vier Schritten:
Asset-Inventar erstellen: Alle IT-Systeme, Anwendungen und Datenflüsse erfassen.
Bedrohungsanalyse durchführen: Relevante Risiken für Ihre Branche und Infrastruktur identifizieren.
Risikomatrix aufbauen: Eintrittswahrscheinlichkeit und Schadenshöhe bewerten, Prioritäten setzen.
Gap-Assessment: Ihren Ist-Zustand gegen die gesetzlichen Vorgaben abgleichen.
§30 Abs. 2 BSIG definiert 12 Maßnahmenbereiche, die als Prüfgrundlage für das Gap-Assessment dienen. Eine detaillierte Gegenüberstellung von NIS2 und bestehenden Standards finden Sie im Artikel NIS2 vs. ISO 27001. NIS2Compass stellt in der Vorlagen-Bibliothek Vorlagen für alle vier Schritte bereit.
Das NIS2-Umsetzungsgesetz verlangt konkrete technische Schutzmaßnahmen in vier Kernbereichen: Zugangskontrolle mit Multi-Faktor-Authentifizierung, Verschlüsselung, Schwachstellen- und Patch-Management sowie Netzwerksicherheit. Diese Bereiche bilden das technische Fundament Ihrer NIS2-Compliance.
Zugangskontrolle und MFA: Rollenbasierte Zugriffsrechte stellen sicher, dass Mitarbeitende nur auf die Systeme zugreifen, die sie für ihre Arbeit benötigen. Multi-Faktor-Authentifizierung schützt kritische Zugänge zusätzlich. Laut Microsoft verhindert MFA 99,9 % aller Kontoübernahmen.
Verschlüsselung: Sensible Daten müssen sowohl bei der Übertragung als auch bei der Speicherung verschlüsselt werden. Das betrifft E-Mails, Datenbanken und mobile Datenträger gleichermaßen.
Schwachstellen- und Patch-Management: Regelmäßige Schwachstellenscans und definierte Fristen für Sicherheitsupdates verhindern, dass bekannte Lücken ausgenutzt werden.
Netzwerksicherheit: Eine dokumentierte Netzwerktopologie und Segmentierung begrenzen den Schaden bei einem erfolgreichen Angriff.
NIS2Compass führt Sie durch jeden dieser Bereiche mit konkreten Handlungsschritten und fertigen Vorlagen.
Bei erheblichen Sicherheitsvorfällen müssen betroffene Unternehmen das BSI in drei Stufen informieren: Frühwarnung innerhalb von 24 Stunden, Erstmeldung innerhalb von 72 Stunden und Abschlussbericht innerhalb eines Monats. Ohne einen funktionierenden Incident-Response-Plan lassen sich diese Fristen kaum einhalten.
Incident-Response-Plan erstellen: Dokumentieren Sie vorab, wer im Ernstfall welche Aufgaben übernimmt. Klare Zuständigkeiten vermeiden Chaos in den ersten kritischen Stunden.
Meldekette definieren: Legen Sie fest, wie die Information intern eskaliert wird und wer die BSI-Meldung abgibt. Das BSI-Meldeportal sollte allen Beteiligten bekannt sein.
Regelmäßig üben: Tabletop-Übungen simulieren Vorfälle am Konferenztisch. So decken Sie Lücken im Prozess auf, bevor es ernst wird.
Der Gesetzgeber nimmt Meldeversäumnisse ernst. Bei Verstößen gegen die Meldepflichten drohen Bußgelder bis zu 10 Mio. EUR.
Drei Kapitel bilden den organisatorischen Rahmen Ihrer NIS2-Compliance: Governance regelt Verantwortlichkeiten und Richtlinien, Lieferkettensicherheit sichert externe Abhängigkeiten ab, Geschäftskontinuität bereitet Ihr Unternehmen auf den Ernstfall vor. Zusammen decken sie die nicht-technischen Pflichten des NIS2UmsuCG ab.
Der erste Schritt ist die Bestellung eines Informationssicherheitsbeauftragten (ISB), der die Umsetzung koordiniert. Darauf aufbauend entsteht ein Richtlinien-Framework mit Leitlinie, Risikorichtlinie und Meldeprozessen. Besonders relevant: §38 BSIG sieht eine persönliche Haftung der Geschäftsführung bei Pflichtverletzung vor. Damit wird NIS2 zur Chefsache.
Viele Sicherheitsvorfälle entstehen nicht im eigenen Unternehmen, sondern bei Zulieferern. Das NIS2UmsuCG verlangt deshalb ein Lieferanteninventar, eine Kritikalitätsbewertung und vertragliche Sicherheitsanforderungen. Wer seine Abhängigkeiten nicht kennt, kann sie nicht absichern.
Dieses Kapitel bereitet auf den Ernstfall vor: Business Impact Analysis, ein dokumentierter Kontinuitätsplan (BCP) und eine Backup-Strategie nach der 3-2-1-Regel. Detaillierte Anleitungen zu allen drei Kapiteln finden Sie im Knowledge Hub von NIS2Compass.
Technische Maßnahmen greifen erst, wenn alle Mitarbeitenden sie verstehen und anwenden. Schulung und Awareness bilden das Fundament, auf dem alle anderen Kapitel aufbauen. Deshalb steht dieses Kapitel bewusst am Ende des Umsetzungspfads.
Das Gesetz fordert Pflichtschulungen auf Leitungsebene und für alle Mitarbeitenden. In der Praxis bedeutet das: regelmäßige Awareness-Trainings, Phishing-Simulationen und den Aufbau einer nachhaltigen Sicherheitskultur. Laut Bitkom beginnen 84 % aller Cyberangriffe mit Social Engineering, also mit dem Faktor Mensch.
„In der Arbeit mit mittelständischen Unternehmen zeigt sich regelmäßig, dass technische Maßnahmen ihre Wirkung erst entfalten, wenn die Belegschaft geschult ist," sagt Dr. Markus Hartmann, Compliance-Berater bei NIS2Compass.
Der NIS2 Guide von NIS2Compass führt Sie durch alle acht Kapitel, von der Bestandsaufnahme bis zur Schulung, mit konkreten Checklisten und Vorlagen für jeden Schritt.
Die Dauer hängt von Ihrer Ausgangslage ab. Unternehmen mit bestehendem ISMS (etwa nach ISO 27001) können NIS2-spezifische Lücken in 3–4 Monaten schließen. Ohne Vorarbeiten sollten Sie 6–12 Monate einplanen.
Muss ich alle 8 Schritte in dieser Reihenfolge umsetzen?
Die Reihenfolge ist eine Empfehlung, keine Pflicht. Schritt 1 (Betroffenheitsprüfung und BSI-Registrierung) sollte immer zuerst erfolgen. Danach lassen sich mehrere Schritte parallel bearbeiten, etwa Risikomanagement und technische Maßnahmen gleichzeitig. Entscheidend ist, dass alle Bereiche vollständig abgedeckt werden.
Brauche ich einen externen Berater für NIS2?
Nicht zwingend. Strukturierte Leitfäden ermöglichen vielen KMU eine eigenständige Umsetzung. Bei komplexen Sonderfällen, etwa OT-Sicherheit oder sektorspezifischen Anforderungen, kann punktuelle Beratung sinnvoll sein. Einen detaillierten Kostenvergleich finden Sie im Artikel NIS2-Berater oder selbst umsetzen?.
Was passiert, wenn ich die NIS2-Umsetzung nicht abschließe?
Das NIS2UmsuCG sieht Bußgelder bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes vor. Bei besonders wichtigen Einrichtungen kann das BSI der Geschäftsführung die Leitungstätigkeit vorübergehend untersagen. Alle Sanktionsstufen erklärt der Artikel NIS2-Bußgelder: Welche Strafen drohen?.
